Häromdagen skrev jag om "the illusion of security". En sak jag missade att ta med när det gäller lösenord är att det inte bara är på internet man behöver hantera en hel uppsjö sådana.
Greger Wikstrand: "The illusion of security": "På internet vill otaliga websajter att vi ska skapa ett konto med ett unikt löenord men"
De flesta som arbetar på något företag behöver också göra det. Där brukar man ofta bli tvingad att byta sina lösenord med vissa intervall. Många system blir det och sällan har de samma intervall på bytena så antingen måste man hålla rätt på en uppsjö av lösenord eller så får man gå in och ändra på alla vid ett och samma tillfälle. Jag träffade en gång en utvecklare på ett stort företag som hade konton på ganska många system. Han fick ägna ½ dag varje månad åt att ändra sina lösenord.
Men du ska veta att de flesta inte har någon större fantasi när det gäller att hitta på nya lösenord. Det blir ofta att man upprättar ett system där man bara ändrar något i lösenordet tex hunddec04, hundjan05 osv...
När folk kommer tillbaka från semestern har de glömt sina lösenord och supporten får ta en hel del jobb med att fara runt i olika system och reseta lösenord. Såvitt man inte har skrivit upp lösenordet förstås... :(
Vi bör utforma våra säkerhetssystem utifrån en ordentlig riskanalys grundad på fakta och inte tyckande. Och sedan får vi inte glömma att göra en riskanalys av vår föreslagna lösning. Jag är övertygad om att det finns otaliga säkerhetssystem som skapar en "illusion of security" utan att egentligen tillföra något annat än besvär och kostnader.
Här är ett företag som jag tror har träffat något sånär rätt när det gäller säkra inloggningssystem. Det är synd att systemet inte är mer utbrett. RSA SecurID
Här finns en artikel om problemen med att övertyga användarna om att hantera lösenord "rätt": http://www.cs.ucl.ac.uk/staff/D.Weirich/chi2001.pdf
Här är en artikel om hur man kan skapa lösenord som inte går att knäcka även om man ser på när någon skriver in det i datorn: http://portal.acm.org/citation.cfm?id=1030083.1030116
Det finns mycket mer att läsa för den som tex går till http://portal.acm.org/ och söker på human factors och passwords.
Inga kommentarer:
Skicka en kommentar